„LDAP kliens SSL” változatai közötti eltérés
(New page: A legtöbb esetben az egyetlen feladat, hogy a "megbízható" CA-k adatait megadjuk. Erre sajnos alkalmazásonként más-más módszert kell használni. == OpenSSL == # cd /etc/ssl/certs...) |
(→Apache) |
||
| 28. sor: | 28. sor: | ||
dn: o=NIIF,c=HU | dn: o=NIIF,c=HU | ||
== Apache == | == Apache == | ||
| + | Ahhoz, hogy a <code>mod_ldap</code> modul SSL-en keresztül tudjon kapcsolódni az LDAP szerverhez, szükség van az '''LDAPTrustedCA''' direktíva használatára. Ez a direktíva csak a szerver konfigban értelmezhető, tehát a <code>httpd.conf</code> vagy az <code>apache2.conf</code>-ba kell tenni. | ||
| + | |||
| + | Az Apache 2.2-ben már nincs meg ez a direktíva. A tapasztalat szerint működik az SSL-es LDAP kapcsolat, ha a fenti pontok beállításait (OpenLDAP, OpenSSL) elvégeztük. A megbízható CA-k megadásához az '''LDAPTrustedGlobalCert''' direktíva használható. | ||
| + | |||
| + | Az SSL-es LDAP lekérdezést (mindkét esetben) úgy tudjuk használni, ha az '''AuthLDAPURL''' paramétere után <code>ldaps://</code> URI-t alkalmazunk. | ||
| + | |||
| + | ;További információ: | ||
| + | * [http://httpd.apache.org/docs/2.0/mod/mod_ldap.html#ldaptrustedca LDAPTrustedCA (Apache2)] | ||
| + | * [http://httpd.apache.org/docs/2.2/mod/mod_ldap.html#usingssltls Using TLS and SSL (Apache2.2)] | ||
| + | |||
== Java == | == Java == | ||
== Tomcat == | == Tomcat == | ||
??? | ??? | ||
A lap 2007. július 5., 11:56-kori változata
A legtöbb esetben az egyetlen feladat, hogy a "megbízható" CA-k adatait megadjuk. Erre sajnos alkalmazásonként más-más módszert kell használni.
Tartalomjegyzék
OpenSSL
# cd /etc/ssl/certs # wget http://www.directory.niif.hu/niif_ldap_ca.pem # ln -s niif_ldap_ca.pem `openssl x509 -hash -in niif_ldap_ca.pem -noout`.0
A legutolsó paranccsal "bízunk meg" az NIIF LDAP CA-ban.
Próba:
$ openssl verify niif_ldap_ca.pem niif_ca_root_x509.pem: OK
OpenLDAP
Az OpenLDAP-nak vagy felhasználónként a ~/.ldaprc fájlban, vagy a központi konfigurációs állományban adjuk meg a megbízható CA-kat. Ezek pl. itt lehetnek:
-
/etc/ldap/ldap.conf(Debian) -
/etc/openldap/ldap.conf(RHEL) -
/usr/local/etc/openldap/ldap.conf(FreeBSD)
Javasolt tartalom:
TLS_CACERTDIR /etc/ssl/certs TLS_REQCERT demand
Próba:
$ ldapsearch -x -H ldaps://directory.iif.hu -b o=niif,c=hu -s base -LLL dn -v ldap_initialize( ldaps://directory.iif.hu ) filter: (objectclass=*) requesting: dn dn: o=NIIF,c=HU
Apache
Ahhoz, hogy a mod_ldap modul SSL-en keresztül tudjon kapcsolódni az LDAP szerverhez, szükség van az LDAPTrustedCA direktíva használatára. Ez a direktíva csak a szerver konfigban értelmezhető, tehát a httpd.conf vagy az apache2.conf-ba kell tenni.
Az Apache 2.2-ben már nincs meg ez a direktíva. A tapasztalat szerint működik az SSL-es LDAP kapcsolat, ha a fenti pontok beállításait (OpenLDAP, OpenSSL) elvégeztük. A megbízható CA-k megadásához az LDAPTrustedGlobalCert direktíva használható.
Az SSL-es LDAP lekérdezést (mindkét esetben) úgy tudjuk használni, ha az AuthLDAPURL paramétere után ldaps:// URI-t alkalmazunk.
- További információ
Java
Tomcat
???
